EMCジャパン(旧RSAセキュリティ)は2011年7月25日、オンライン犯罪に関する記者説明会を開催し、“最も先進的な商用トロイの木馬キット”である「SpyEye」の新版が登場していると明らかにした。6月にはバージョン1.03.45へのバージョンアップが実施され、「メールグラバー」機能と「トリガーベースの統合インスタントメッセージ(IM)通知」機能のプラグインが追加されているという。

 SpyEyeは地下フォーラムで流通しているトロイの木馬キットである。以前に猛威を振るった「Zeus」からソースコードを買い取り、現在使われているトロイの木馬キットとして主流の地位を占めている(関連記事:進む「Zeus」と「SpyEye」の連携)。トロイの木馬としての基本的な機能のほか、頻繁なバージョンアップで多機能化が進んでいる。

 新版で追加されたメールグラバーは、メールの内容をOutlookクライアントから盗み出す機能だ。「クレジットカード番号を盗むなどの金銭目的ではなく、企業や政府の機密情報を狙う機能進化といえる」(EMCジャパンRSA事業本部の水村明博プリンシパルマーケティングプログラムマネージャー)。

 トリガーベースの統合IM通知とは、トロイの木馬感染者の行動に応じて、IMで通知を出す機能である。例えば感染者がオンライン銀行の利用を開始した場合に、攻撃者に対してその旨を通知する。攻撃者はメッセージに基づいて、情報を盗み出すなどの攻撃を実施する。IM機能の実装にはオープンソースのIMソフト「Jabber」を利用している。

 価格は「フォーラムにもよるが数千から数万ドルで販売されている。価格の違いはプラグインをどれだけ付加するかによる。安いものはウイルス対策ソフトに引っかかりやすいなどの難点がある」(水村マネージャー)。最近はSpyEyeを使って、「トロイの木馬に感染させるまでをサービスで提供するSaaSも登場している」(水村マネージャー)。